Ochrona danych osobowych a odpowiedzialność IT

W ostatnim czasie można zaobserwować ożywioną dyskusję wokół kwestii ochrony danych osobowych ze względu na to, że coraz częściej zdarza się, iż odpowiedzialność za ich bezpieczeństwo jest nakładana na obszar IT. Należy rozważyć słuszność takiego działania, które znajduje niemal tylu zwolenników, co przeciwników. Czy rzeczywiście całość polityki związanej z ODO powinna leżeć w gestii IT, czy może lepszym rozwiązaniem byłoby powierzenie tego zadania komuś "z zewnątrz"?

Na początku rozważań dotyczących wyżej zarysowanego problemu, warto odwołać się do litery prawa. Zgodnie z art. 7 pkt. 4 Ustawy o ochronie danych osobowych, administratorem danych jest osoba decydująca o gromadzeniu i przechowywaniu informacji, sposobach ich zabezpieczania i udostępniania. Z kolei według art. 36 ust. 1, na administratorze spoczywa obowiązek zapewnienia ochrony danych osobowych poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, dostosowanych do możliwych zagrożeń. Dane powinny być zabezpieczone zwłaszcza przed ich udostępnieniem osobom niepowołanym, przetwarzaniem, zmianą, utratą, zniszczeniem.

W tym kontekście być może słuszne jest powierzenie ODO obszarowi IT. Trzeba wziąć pod uwagę fakt, że w instytucjach finansowych czy firmach telekomunikacyjnych dostęp do danych mają niemal wszyscy: począwszy od pracowników call center, przez obsługę mającą styczność z klientelą w oddziałach, aż po pracowników terenowych. W takich przypadkach warto rozważyć utworzenie nowego stanowiska typu Chief ODO Officer. Innym rozwiązaniem może być przekazanie obowiązków związanych z ODO działowi, który dysponuje odpowiednimi środkami technicznymi.

Z drugiej strony przeciwnicy takich rozwiązań, wskazują, także powołując się na zapisy prawne, iż IT jest odpowiedzialne za proces wdrażania odpowiednich środków kontrolujących i zabezpieczających dane osobowe. Nie powinna zatem pełnić funkcji nadzorczej w tym zakresie, ze względu na fakt, iż "nie można być jednocześnie twórcą i tworzywem". Sformułowanie to oznacza, że IT nie może sprawować kontroli nad własną pracą. Absurdem byłaby sytuacja, w której IT odpowiadałoby za politykę bezpieczeństwa obszarów, wobec których pełni rolę służebną – dostarcza im odpowiednich narzędzi zabezpieczających. Poza tym, nie wolno zapominać, że IT jest jedynie ogniwem służącym do przetwarzania danych osobowych. Warto również dodać, że nawet w dobie powszechnej komputeryzacji nie funkcjonują one wyłącznie w obrębie systemów informatycznych, niejednokrotnie występują w wersji papierowej. Pracownicy, którzy mają do nich dostęp także je przetwarzają, choć nie cyfrowo. Osoby pozostające poza zasięgiem IT, również muszą stosować się do przepisów o ochronie danych osobowych. Nałożenie tej odpowiedzialności na IT może zagrażać przebiegowi procesów w przedsiębiorstwie oraz doprowadzić do zniekształcenia jego struktur.

Nie sposób zaprzeczyć, iż IT nie jest działem prawnym, zatem nie powinien być odpowiedzialny za ODO. Praktyka wielu przedsiębiorstw pokazuje, że dzieje się inaczej, ponieważ najwięcej danych osobowych jest przetwarzanych przez systemy IT, które mają szeroką wiedzę na ten temat i realny wpływ na przetwarzanie. Poruszone zagadnienie jest niezwykle złożone i kontrowersyjne, być może w przyszłości doczeka się usystematyzowania.

Źródło